群联科技公司欢迎您,请谨防冒充诈骗!
群联科技
主页 > 帮助中心 > 公司新闻 >

服务器的防火墙分类和发展历史

作者:群联科技 2018-03-03 20:56

防火墙是一种网络安全系统,是硬件或者软件为基础,对网络流量传入和传出进行有效的监控和控制。防火墙对DDoS的防御非常有效,通常我们所说的高防服务器就为与防火墙设备紧密结合的服务器。
 
防火墙的发展史
 防火墙的作用
  防火墙是计算机安全机制,建立以防止恶意软件或者流量像火势一样蔓延而产生,因而叫防火墙。
 
  当网络开始普及的时候,控制对服务器的访问能力成为企业或者组织的一种需求。防火墙的概念出现在20世纪80年代末,是由路由器的访问控制列表(ACL)的基础上逐渐形成。当时ACL主要是允许或者拒绝IP地址对网络的访问。
 
   互联网的发展和网络的产生增加连接意味着ACL这种类型的过滤不再足以对恶意流量进行控制。因而 Digital Equipment公司推出了首款商用防火墙,DEC SEAL,在1992年,防火墙技术在打击网络攻击上发展日益成熟。
 
 数据包的防火墙
 
  最早的防火墙功能作为数据包过滤器,检查了在互联网上的计算机之间传输的数据包。当一个数据包通过分组过滤防火墙,它的源地址和目的地址,协议,端口和目的端口号核对防火墙的规则集。未明确允许到网络的任何数据包被丢弃(即不转发到目的地)。例如,如果防火墙配置了一个规则来阻止Telnet访问,那么防火墙将下降往TCP端口号23进行端口数据包侦听。
 
  包过滤防火墙工作主要是在OSI参考模型(物理,数据链路和网络)的第一三层,虽然传输层用于获得在源和目的端口号。虽然速度快速,高效,他们有没有能力告诉包是否是当前流量的一部分。因为他们对待每一个数据包有隔离,这使得他们很容易受到欺骗攻击,也限制了他们的能力,使通信主机处于更加复杂的决策。
 
 
 
状态防火墙
 
  为了识别一个数据包的连接状态,防火墙需要记录穿过它的所有连接,以确保它具有足够的信息,以评估一个包是否是一个新的连接开始时,一个现有的连接的一部分,或者没有加入任何部分连接。这就是被称为“全状态数据包检测。”状态检测最早是在1994年推出由Check Point Software公司的FireWall-1软件防火墙,并在90年代末,这是一个常见的防火墙产品的功能。
  这个附加信息可以用来准许或拒绝基于分组的历史在状态表的访问,并加快分组处理;这样,数据包是基于防火墙的状态表中的现有的连接的一部分可以被允许通过,而不进一步分析。如果数据包不匹配的现有连接,它根据规则新的连接设置进行评估。
 
应用层防火墙
 防火墙的发展历史和形态
  作为对Web服务器的攻击变得更加普遍,所以需要对网络资源的应用程序进行保护,因而防火墙不但需要可以保护服务器,而且还要保证应用的安全。应用层防火墙技术在1999年首次出现,使防火墙检查和过滤数据包在任何OSI层到应用层。
 
  应用层过滤的主要好处是可以阻止特定的内容,如已知的恶意软件或某些网站,并在某些应用程序和协议识别的能力 - 如HTTP,FTP和DNS等正在被广泛利用的协议。
 
  防火墙技术现在并入到各种设备;在网络间传递数据的许多路由器包含防火墙组件和大多数家用电脑的操作系统包括基于软件的防火墙。许多基于硬件的防火墙还提供诸如基本的路由他们保护内部网络的附加功能。
 
  代理防火墙
 
  防火墙代理服务器工作在防火墙的应用层,充当从一个网络的请求到另一个特定的网络应用的媒介。代理防火墙阻止防火墙的两侧之间的直接连接;双方不得不通过代理,这可以根据其规则集阻止还是允许流量进行会话。代理服务器必须运行防火墙支持的为每种类型的互联网应用,如用于Web服务的HTTP代理。
 
  防火墙的过时性
 
  防火墙的作用是防止恶意流量到达它被保护的资源。一些安全专家认为这是一种过时的做法。他们认为,虽然防火墙还是有作用的,现代的网络有这么多的切入点和不同类型的用户导致防火墙只停留在信息资源的安全性上,而且防火墙的保护范围也出现的很大的局限,如今的网络需要强大的访问控制和更好网络保障技术。例如虚拟化策略,如虚拟桌面基础架构能够动态地向不同的场景,通过提供量身定制的访问控制,应用程序,文件,Web内容和电子邮件附件根据用户的角色,位置,设备和连接上的回应。这种方法的安全性确实提供了额外的保护,而且能与防火墙的保护范畴形成互补性。
上一篇:服务器安全基线检查详细解析
下一篇:没有了